Du er her:

Databeskyttelsespolitik

Overordnet organisering af personoplysninger

Danske Handicaporganisationer ønsker som hovedregel at anvende digitale databehand-lingssystemer og digital opbevaring af personoplysninger hos eksterne leverandører, der sikkert hoster og stiller IT-systemer til rådighed, således at Danske Handicaporganisationer ikke selv har behov for at råde over kompetence til at stå for den daglige drift af sådanne systemer.

Danske Handicaporganisationer ønsker endvidere i videst muligt omfang at organisere opbevaringen af personoplysninger i bestemte centrale systemer, så personoplysninger om de enkelte personer ikke findes fordelt på flere systemer, og både i elektronisk og manuel form.

Danske Handicaporganisationer ønsker endvidere i videst muligt omfang at organisere opbevaringen af personoplysninger i bestemte centrale systemer, så personoplysninger om de enkelte personer ikke findes fordelt på flere systemer, og både i elektronisk og manuel form.

1. Formål

Databeskyttelsespolitikken beskriver det ledelsesgodkendte niveau for sikkerhed i Danske Handicaporganisationer, og indeholder de overordnede sikkerhedsmålsætninger, og danner grundlag for udformning af Danske Handicaporganisationers I-4 datasikkerhedshåndbog (dokumentnr. 383554) med de underliggende retningslinjer og forretningsgange.

De retningslinjer, der udformes for at understøtte databeskyttelsespolitikkens hovedmåls-sætninger, skal sikre, at alle medarbejdere arbejder med og forholder sig til datasikkerhed i behandlingen af personoplysninger i det daglige arbejde.

Databeskyttelsespolitikken er især formuleret med henblik på beskyttelse af personoplys-ninger, men den finder tilsvarende anvendelse på økonomiske- og andre data.

Datasikkerhed er derfor en nøgleværdi, og den er en naturlig del af Danske Handicaporganisationers automatiske og manuelle databehandling af oplysninger, herunder især personoplysninger.

2. Omfang

Databeskyttelsespolitikken er gældende for alle, der er tilknyttet virksomheden, enten som medarbejdere, ledelse, aktive i DH’s lokalafdelinger, bestyrelse, leverandører og samarbejdspartnere.

Alle leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til Danske Handicaporganisationers IT-systemer, data og personoplysninger, skal gøres bekendt med politikken og forpligte sig til at følge den.

Databeskyttelsespolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Danske Handicaporganisationers digitale databehandlingssystemer samt manuelle arkiver og registre.

3. Hovedmålsætninger og sikkerhedsniveau

Danske Handicaporganisationer har følgende sikkerhedsmålsætning:

”Danske Handicaporganisationer har et passende og tilstrækkeligt teknisk og organisa-torisk sikkerhedsniveau, der gælder for alle ansatte, aktive i DH’s lokalafdelinger, leve-randører og samarbejdspartnere ved behandling af personoplysninger og andre data ved hel eller delvis anvendelse af automatisk databehandling, samt for behandling af manuelle dokumenter."

Et passende og tilstrækkeligt databeskyttelsesniveau opnås igennem tekniske og organisatoriske foranstaltninger, der sikrer:

• Vedvarende fortrolighed, integritet, tilgængelighed og robusthed af Danske Han-dicaporganisationers digitale behandlingssystemer og behandlingstjenester i forhold til den risikovurdering, der gennemføres for de enkelte systemer og personoplysninger.
• Anvendelse af et lukket mailsystem, hvor det er relevant, f.eks i forbindelse med dataudveksling mellem DH’s sekretariat og DH’s lokalafdelinger, samt mellem lokalafdelingerne og de tilknyttede aktive.
• Evnen til rettidigt at genoprette tilgængelighed af og adgangen til data i tilfælde af en fysisk eller teknisk hændelse.
• Beskyttelse af Danske Handicaporganisationers IT-aktiver, personoplysninger og øvrige data i Danske Handicaporganisationers varetægt.

Et tilstrækkeligt sikkerhedsniveau fastholdes ved:

• At der vedvarende forefindes retningslinjer og forretningsgange, som sikrer, at data-sikkerheden er en integreret del af Danske Handicaporganisationers drift og daglige arbejde.
Målet er at sikre en kontinuerlig forbedringsproces, der løbende vedligeholder og optimerer databeskyttelsespolitikken, retningslinjer og forretningsgange.
• At det igennem kontrakt- og leverandørstyring sikres, at brugen af eksterne leverandører, konsulenter og samarbejdspartnere lever op til den gældende databeskyttelseslovgivning og Danske Handicaporganisationers databeskyttelsesniveau.
• At der i forbindelse med indførelse af nye IT-systemer gennemføres:
o passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige, be-handles.
o Hvis det skønnes nødvendigt, gennemførelse af analyse af den påtænkte behandling af personoplysningers konsekvenser for beskyttelse af oplysningerne, (Konsekvensanalyse).
• Danske Handicaporganisationer følger op på datasikkerheden igennem løbende vedli-geholdelse og optimering af databeskyttelsespolitikken og de dertilhørende retningslinjer og forretningsgange.

4. Organisation og ansvar

Sikkerhedsmålsætning:
"Alle medarbejdere har ansvar for datasikkerheden. De er bekendte med og efterlever Danske Handicaporganisationers databeskyttelsespolitik, retningslinjer og forretnings-gange, der er beskrevet i I-4 Databeskyttelseshåndbogen (dokumentnr. 383554)."

Planlægning, implementering og kontrol af datasikkerheden er defineret af Danske Handi-caporganisationers ledelse, der også er ansvarlig for implementering og vedligeholdelse af databeskyttelsessikkerhedssystemet og er ansvarlig for opfølgning på sikkerhedshændelser (brud).

Ledelsen fastsætter i I-4 Databeskyttelseshåndbogen (dokumentnr. 383554), hvem der har ansvaret for hver af organisationens, digitale og manuelle databehandlingssystemer, styring af systemadgang og netværksadgang, tildeling af rettigheder, indgåelse af IT-kontrakter og andre kontrakter, indkøb af hardware og installation af software, behand-ling af henvendelser fra de registrerede, opsamling og styring af anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet

Databeskyttelsespolitikken revurderes og godkendes én gang årligt, eller i forbindelse med eventuelle situationer, der nødvendiggør det.

Ledere og medarbejdere er ansvarlige for at efterleve retningslinjer og procedurer for datasikkerhed i det daglige arbejde. Medarbejdere, der konstaterer eller oplever brud på datasikkerheden, skal anmelde det hurtigst muligt til nærmeste ledere eller den udpegede kontaktperson for persondata.

Den nødvendige viden og kompetence om databeskyttelse og sikkerhed kommunikeres til alle medarbejdere, og der bliver løbende arbejdet med holdninger og viden omkring data-beskyttelse og sikkerhed.

Ledelsen er ansvarlig for, at databeskyttelsespolitikken overholdes.

5. Databeskyttelseshåndbogen

Databeskyttelsespolitikken uddybes af ledelsen i retningslinjer og forretningsgange. Til-sammen udgør politikken, retningslinjer, beredskabspolitik og forretningsgange Databe-skyttelseshåndbogen, der inddeles i følgende hovedområder:

a) Retningslinjer for medarbejdernes håndtering af sikkerhed.
• Fokus på, at personoplysninger altid behandles fortroligt.
• Regler for login og password.
• Regler for anvendelse af mobilt udstyr, PC’er, USB-nøgler, mobiltelefoner mv.
• Regler for anvendelse af private PC’er til behandling af personoplysninger ved-rørende medarbejdere og aktive i lokalafdelingerne.
• Regler for anvendelse af internettet.
• Regler for anvendelse af mails, herunder mail i lukket kredsløb, og privat anvendelse af organisationens mail.
• Regler for eller forbud mod download af IT-programmer, spil, billeder mv.
b) Retningslinjer for adgangsstyring.
c) Retningslinjer for behandling af data på mobile enheder.
d) Retningslinjer for anvendelse af mail i lukket kredsløb ved udveksling af personfølsomme data.
e) Retningslinjer for netværksstyring, herunder trådløse netværk.
f) Retningslinjer for styring af sikkerhedshændelser (brud), herunder
• Anmeldelse af sikkerhedshændelser (brud) på persondatasikkerheden til Datatilsynet og de registrerede, herunder procedurer, kontakt til databehandler og indhold i anmeldelsen.
• Forretningsgange for behandling, reetablering og rettelser af personoplysninger.
g) Principper og forretningsgange for behandling af personoplysninger som beskrevet nedenfor i afsnit 6.
h) Retningslinjer for styring af IT-leverandører og databehandlere
• Databehandleraftaler.
• Databehandlerens sikkerhedsniveau og håndtering af sikkerhed.

6. Principper og forretningsgang for behandling af personoplysninger

Ledelsen fastsætter principper og forretningsgange for behandling af personoplysninger, der sikrer overholdelse af Databeskyttelsesforordningen og Persondataloven.

Forretningsgangene, der dokumenteres, omfatter:

• Principper for behandling af personoplysninger.
• Anvendelse af samtykke som grundlag for behandling af personoplysninger.
• Procedurer for udøvelse af den registreredes rettigheder, herunder underretning ved registrering og udøvelse af retten til berigtigelse, sletning eller begrænsning af behand-ling og ret til dataportabillitet.

7. Risikovurdering og klassifikation af data

Risikovurdering

Danske Handicaporganisationer ønsker at være bevidst om enhver risiko, og ud fra en praktisk risikovurdering at opnå et passende og tilstrækkeligt sikkerhedsniveau for den automatiske og manuelle databehandling i organisationen.

Ledelsen deltager aktivt i risikovurderingen og er ansvarlige for at vurdere trusler, konse-kvenser og risici ved automatisk og manuel databehandling.

Det tages op i ledelsen en gang om året, om risikovurderingen skal revurderes, samt ved eventuelle større ændringer i opgaver, leverandører, databehandlingssystemer.

Klassifikation

For at sikre, at systemer og data har det rigtige sikkerhedsniveau, skal disse klassificeres. Data og systemer skal klassificeres efter både tilgængelighed, integritet (pålidelighed) og fortrolighed.

Tilgængelighed

I tilgængelighedskriteriet ligger, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Det er for Danske Handicaporganisationer især vigtigt med høj tilgængelighed til data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med personoplysnin-ger, personaleadministration, herunder lønudbetaling og indberetninger til myndigheder

Tilgængeligheden sikres først og fremmest igennem bestemmelser i de IT-kontrakter og/eller databehandleraftaler, der indgås med leverandørerne.

Integritet og pålidelighed

Med integritet og pålidelighed menes, at data om og i systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige.

Det er for Danske Handicaporganisationer især vigtigt med høj integritet og pålidelighed i data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med behand-ling af personoplysninger og personaleadministration.

Integritet og pålidelighed sikres først og fremmest gennem den kvalitetskontrol, der finder sted under de fastlagte forretningsgange for behandling af personoplysninger og sager.

Fortrolighed

Med fortrolighed menes der, at kun autoriserede personer har ret til at tilgå personoplys-ningerne, og personoplysningerne kun skal være tilgængelige for autoriserede personer.

Personoplysninger behandles altid fortroligt og videregives eller offentliggøres kun med samtykke fra den registrerede, medmindre videregivelse har anden hjemmel i lovgivnin-gen.

I I-4 Databeskyttelseshåndbogen (dokumentnr. 383554) angives hvilke personer, der har adgang til oplysninger om medarbejdere og aktive.

8. Overtrædelse af databeskyttelsespolitikken

Alle medarbejdere og aktive i Danske Handicaporganisationer er forpligtet til at efterleve den til enhver tid gældende datasikkerhedspolitik med tilhørende retningslinjer, forret-ningsgange og relaterede bilag.

Alle medarbejdere og aktive modtager ved deres start en kopi af de vigtigste bestemmelser om data- og persondatasikkerhed rettet mod medarbejdere og aktive.

9. Afvigelser

Hvis der opstår situationer, hvor kravene i Databeskyttelsespolitikken helt undtagelsesvist ikke kan efterleves, skal det godkendes af ledelsen og dokumenteres, og der indføres alternative sikringsforanstaltninger.

10. Udarbejdelse og ikrafttrædelse

Ændringer i sikkerhedsdokumentationen forelægges og godkendes af ledelsen.

Databeskyttelsespolitikken er fremlagt og godkendt på LG møde den


Henrik Hansen, dataansvarlig i DH

Begreber og definitioner

Begreb

Definition

Fortrolighed

Kun autoriserede personer har ret til at behandle oplysningerne, der kun skal være tilgængelige for autoriserede personer.

Integritet

Det er muligt at validere, om data på systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige. Herunder sikring af backup og eller systemdublering

Tilgængelighed

 

Det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Robusthed

Behandlingssystemers- og tjenesters tekniske og organisatoriske modstandsdygtighed, der beskytter dem mod skadelige hændelser. Dette kan fx være sikring mod udfald ved dublering, køling, nødstrømsanlæg, brandslukning mv.

Pseudonymisering

Behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, der opbevares separat og sikkert.

Kryptering

En proces, der omdanner de oprindelige oplysninger til oplysninger, der er ulæselig for en trediepart.

Vedvarende

Evnen til at sikre fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester er en løbende teknisk og organisatorisk forpligtelse

Databeskyttelsespolitik

 

Databeskyttelsespolitikken indgår i en dokumentstruktur, hvor politikken er det overordnede dokument, som besluttes af ledelsen, og som udstikker de overordnede krav og målsætninger, som opfyldes igennem specifikke retningslinjer, forretningsgange og instrukser, der findes i Databeskyttelseshåndbogen.

Retningslinjer

 

I retningslinjerne udfyldes de målsætninger, der er fastlagt i politikken i konkrete beskrivelser af, hvordan sikkerhedspolitikken implementeres. Retningslinjerne fungerer på et overordnet niveau og indeholder ikke tekniske og systemrelaterede beskrivelser.

Forretningsgange og instrukser

Forretningsgange og instrukser udgør specifikke vejledninger til, hvordan retningslinjerne på detaljeret niveau overholdes og implementeres i den enkelte afdeling.

Sikkerhedsforhold

Med sikkerhedsforhold menes alle de forhold, som kan påvirke oplysningers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed.

Sikkerhedshændelser

Begrebet forstås bredt som alle de hændelser, der påvirker databeskyttelsessikkerheden, herunder brud på sikkerheden